Perfis de conexão remota no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Utilize perfis de ligação remota do Gestor de Configuração para permitir que os seus utilizadores se conectem remotamente aos computadores de trabalho. Estes perfis permitem-lhe implementar definições de Ligação de Ambiente de Trabalho Remoto para utilizadores na sua hierarquia. Os utilizadores podem aceder a qualquer um dos seus computadores de trabalho primário através do Remote Desktop através de uma ligação VPN.

Importante

Quando especifica as definições de perfil de ligação remota com o Gestor de Configuração, o cliente armazena as definições em Windows política local. Estas definições podem sobrepor-se às definições de Ambiente de Trabalho Remoto que configura com outra aplicação. Além disso, se utilizar Windows Política de Grupo para configurar as definições de Ambiente de Trabalho Remoto, as definições especificadas na Política de Grupo anularão as definições do Gestor de Configurações.

O Gestor de Configuração cria um grupo de segurança em clientes, Ligação de PC remoto. Quando implementa um perfil de ligação remota, o cliente adiciona os utilizadores primários do computador a este grupo. Um administrador local pode adicionar ou remover manualmente os utilizadores a este grupo, mas o Gestor de Configuração atualiza a adesão quando avalia a conformidade do perfil.

Importante

Se a relação de afinidade do dispositivo do utilizador entre um utilizador e um dispositivo mudar, o Gestor de Configuração desativa o perfil de ligação remota e Windows as definições de Firewall para evitar ligações ao computador.

Pré-requisitos

Dependências externas

• Se pretender que os utilizadores se conectem a partir da internet, instale e configuure um servidor Remote Desktop Gateway. Para obter mais informações sobre como instalar e configurar um servidor Remote Desktop Gateway, consulte Serviços de Desktop Remoto - Acesso a partir de qualquer lugar.

• Se os clientes executarem uma firewall baseada no anfitrião, deve ativar o programa mstsc.exe. Quando configurar um perfil de ligação remota, ative a definição para Permitir Windows exceção firewall para ligações nos domínios Windows e em redes privadas. Esta definição permite ao Gestor de Configuração configurar automaticamente Windows Firewall.

  Dica

  As definições de Política de Grupo para configurar a Firewall do Windows poderão substituir a configuração definida no Configuration Manager. Se utilizar a Política de Grupo para configurar Windows Firewall, certifique-se de que as definições de Política de Grupo não bloqueiam mstsc.exe.

  Se os clientes executarem uma firewall diferente baseada no hospedeiro, configurar manualmente esta dependência de firewall.

Dependências do Configuration Manager

• Para que um utilizador se conecte a um computador de trabalho, esse computador deve ser um dispositivo primário do utilizador. Para obter mais informações, consulte utilizadores e dispositivos Link com afinidade do dispositivo do utilizador.

• Para gerir perfis de ligação remota, a sua conta de utilizador necessita de permissões específicas no Gestor de Configurações. A função de Compliance Definições Manager inclui as permissões necessárias para gerir estes perfis. Para obter mais informações, consulte a administração baseada em funções.

Considerações de segurança e privacidade

Considerações de segurança

• Especifique manualmente a afinidade dispositivo/utilizador em vez de permitir que os utilizadores identifiquem o respetivo dispositivo primário. Não ative a configuração baseada no uso.

  • Antes de poder implantar um perfil de ligação remota, tem de ativar a opção de permitir que todos os utilizadores primários do computador de trabalho se conectem remotamente. Com esta configuração, deve sempre especificar manualmente a afinidade do dispositivo do utilizador. Não considere a informação que o Gestor de Configuração recolhe dos utilizadores ou do dispositivo como autoritária. Se implementar um perfil e um utilizador administrativo de confiança não especificar afinidade do dispositivo do utilizador, os utilizadores não autorizados poderão receber privilégios elevados e podem ligar-se remotamente aos computadores.

  • O Gestor de Configuração recolhe informações baseadas em uso através de mensagens estatais, que é um canal de comunicação rápido mas inseguro. Para ajudar a atenuar esta ameaça, utilize a assinatura de Bloco de Mensagem de Servidor (SMB) ou o protocolo IPsec (Internet Protocol Security) entre os computadores cliente e o ponto de gestão.

• Restrinja os direitos administrativos locais no computador do servidor de site. Um administrador local no servidor do site pode adicionar manualmente membros ao grupo de segurança de Ligação de PC remoto que o Gestor de Configuração cria e mantém automaticamente. Esta ação pode causar uma elevação de privilégios porque os membros recebem permissões de Desktop Remoto.

Considerações de privacidade

Quando um utilizador se liga remotamente a um computador de trabalho, descarrega um ficheiro .wsrdp. Este ficheiro contém o nome do dispositivo e o nome do Servidor Gateway de Desktop Remoto. Estes valores são necessários para criar a sessão de Desktop Remoto. O ficheiro .wsrdp é transferido e guardado localmente, de forma automática. O ficheiro será substituído da próxima vez que o utilizador executar uma sessão de Ambiente de Trabalho Remoto.

Criar um perfil

1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho Ativos e Compliance, expanda o compliance Definições e selecione Perfis de Conexão Remota.

2. No separador 'Casa' da fita, no grupo Criar, selecione Criar Perfil de Ligação Remota.

3. Na página geral do Assistente de Perfil de Ligação Remota, especifique um nome e uma descrição opcional para o perfil. Ambos os valores têm um limite máximo de 256 caracteres.

4. Na página profile Definições, especifique as seguintes definições:

   • Nome e porta completos do servidor Remote Desktop Gateway (opcional): Especifique o nome do Servidor gateway de secretária remoto para utilizar para ligações. Este valor tem os seguintes requisitos:

     • O nome do servidor não pode ser superior a 256 caracteres.
     • Pode conter caracteres maiúsculas, minúsculas e numéricas.
     • Além dos . períodos entre segmentos e um cólon : antes da porta, os únicos caracteres especiais são traços ( ) e – sublinham ( _ ).
     • O Gestor de Configuração não suporta a utilização de um nome de domínio internacionalizado para este valor.

   • Permitir ligações apenas a partir de computadores que executam o Ambiente de Trabalho Remoto com Autenticação do Nível de Rede: Ativado por padrão, esta definição adiciona um nível adicional de segurança para a ligação. Para obter mais informações, consulte o acesso ao Ambiente de Trabalho Remoto do Grant.

   • Ativar as seguintes definições de ligação:

     • Permitir ligações remotas a computadores de trabalho

     • Permitir a ligação remota de todos os utilizadores primários do computador de trabalho

     • Permitir exceção da Firewall do Windows para ligações em domínios do Windows e em redes privadas

     Importante

     As três definições devem ser as mesmas antes de poder continuar.

     Desative apenas estas definições quando implementar um perfil para desligar as ligações remotas.

5. Conclua o assistente.

O novo perfil é apresentado no nó de Perfis de Conexão Remota no espaço de trabalho Ativos e Compliance.

Implementar

1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho Ativos e Compliance, expanda o compliance Definições e selecione Perfis de Conexão Remota.

2. Na lista de Perfis de Ligação Remota, selecione o perfil que pretende implementar. No separador Casa da fita, no grupo De implementação, selecione Implementar.

3. Na janela 'Implementar o perfil de ligação remota', especifique as seguintes informações:

   • Coleção: Navegue para selecionar a coleção do dispositivo onde pretende implementar o perfil.

   • Remediar regras não conformes quando suportados: Ative esta definição para remediar automaticamente as definições de perfil quando não estão em conformidade com um dispositivo. O perfil pode ser incompatível quando não existe.

   • Permitir a reparação fora da janela de manutenção: Se configurar uma janela de manutenção para a coleção à qual implanta o perfil, ative esta opção para permitir que o Gestor de Configuração o remediar fora da janela de manutenção. Para mais informações, consulte como utilizar janelas de manutenção.

   • Gerar um alerta: Ative esta opção para configurar um alerta de conformidade.

   • Especificar o calendário de avaliação de conformidade para esta linha de base de configuração: Especifique um horário simples ou personalizado através do qual o cliente avalia o perfil.

4. Selecione OK para fechar a janela e criar a implementação.

Avaliação do cliente

O cliente avalia o perfil quando um utilizador assina.

Se um dispositivo deixar uma coleção à qual implementa um perfil de ligação remota, o Gestor de Configuração desativa as definições do dispositivo. No entanto, para que este processo decorra corretamente, deve ter implementado pelo menos um item de configuração ou uma linha de base de configuração que contenha um item de configuração do site.

Resolução de conflitos

Não coloque mais do que um perfil de ligação remota com definições conflituosas para o mesmo dispositivo. Por exemplo, implementa dois perfis com configurações diferentes para a mesma coleção. Configura apenas uma implementação de perfil para remediar regras não conformes quando suportadas. Esta implementação pode sobrepor-se às definições do outro perfil. O Gestor de Configuração não suporta este tipo de implementação de perfil de ligação remota.

Monitor

Na consola 'Gestor de Configuração', vá ao espaço de trabalho de monitorização e selecione Implementações. Na lista de Implementações, selecione a implementação do perfil de ligação remota.

Poderá rever as informações de resumo sobre a conformidade da implementação do perfil de ligação remota na página principal. Para visualizar informações mais detalhadas, selecione a implementação do perfil. Em seguida, no separador Home da fita, no grupo De implementação, selecione 'Ver Estado'. Esta ação abre a página 'Estado de Implantação'.

A página Estado da Implementação contém os seguintes separadores:

• Conformidade: Mostra a conformidade do perfil de ligação remota com base no número de ativos afetados.

  Importante

  O cliente não avalia um perfil de ligação remota se não for aplicável. No entanto, ainda reporta conformidade.

• Erro: Apresenta uma lista de todos os erros para a implementação do perfil de ligação remota selecionada com base no número de ativos afetados.

• Não Conforme: Apresenta uma lista de todas as regras não conformes dentro do perfil de ligação remota com base no número de ativos afetados.

• Desconhecido: Apresenta uma lista de todos os dispositivos que não reportaram a conformidade para a implementação de perfil de ligação remota selecionada, juntamente com o estado atual do cliente dos dispositivos.

Em qualquer separador, abra uma regra para criar um subnoto temporário sob o nó de Utilizadores no espaço de trabalho Ativos e Compliance. Este subnoma contém todos os dispositivos com o estado de conformidade do separador selecionado.

O painel De Detalhes do Ativo exibe os dispositivos com o estado de conformidade selecionado para este perfil. Abra um dispositivo na lista para apresentar informações adicionais.

Relatórios

O Gestor de Configuração inclui relatórios incorporados que pode utilizar para monitorizar informações sobre perfis de ligação remota. Estes relatórios têm a categoria de relatório de Gestão de Compatibilidade e Definições.

Importante

Utilize o caractere wildcard % () quando utilizar os parâmetros Filtro de dispositivo e filtro do utilizador nos relatórios para definições de conformidade.

Para obter mais informações sobre como configurar relatórios no Gestor de Configurações, consulte Introdução ao relatório.